новые over het hacken van de infrastructuur van het gedecentraliseerde berichtenplatform Matrix, waarover in de ochtend. De problematische link waardoor de aanvallers binnendrongen, was het continue integratiesysteem van Jenkins, dat op 13 maart werd gehackt. Vervolgens werd op de Jenkins-server de login van een van de beheerders, omgeleid door een SSH-agent, onderschept en op 4 april kregen de aanvallers toegang tot andere infrastructuurservers.
Tijdens de tweede aanval werd de matrix.org-website omgeleid naar een andere server (matrixnotorg.github.io) door de DNS-parameters te wijzigen, met behulp van de sleutel van de Cloudflare content delivery system-API die tijdens de eerste aanval werd onderschept. Bij het opnieuw opbouwen van de inhoud van de servers na de eerste hack hebben Matrix-beheerders alleen nieuwe persoonlijke sleutels bijgewerkt en misten ze het bijwerken van de sleutel naar Cloudflare.
Tijdens de tweede aanval bleven de Matrix-servers onaangeroerd; de wijzigingen bleven beperkt tot het vervangen van adressen in de DNS. Als de gebruiker het wachtwoord na de eerste aanval al heeft gewijzigd, hoeft dit geen tweede keer te worden gewijzigd. Maar als het wachtwoord nog niet is gewijzigd, moet het zo snel mogelijk worden bijgewerkt, aangezien het lek van de database met wachtwoord-hashes is bevestigd. Het huidige plan is om de volgende keer dat u inlogt een gedwongen wachtwoordresetproces te starten.
Naast het lekken van wachtwoorden is ook bevestigd dat GPG-sleutels die worden gebruikt om digitale handtekeningen te genereren voor pakketten in de Debian Synapse-repository en Riot/Web-releases in handen van de aanvallers zijn gevallen. De sleutels waren beveiligd met een wachtwoord. De sleutels zijn op dit moment al ingetrokken. De sleutels werden op 4 april onderschept, sindsdien zijn er geen Synapse-updates meer uitgebracht, maar is de Riot/Web-client 1.0.7 vrijgegeven (uit een voorlopige controle bleek dat deze niet gecompromitteerd was).
De aanvaller plaatste een reeks rapporten op GitHub met details over de aanval en tips voor het verbeteren van de bescherming, maar deze werden verwijderd. Echter, de gearchiveerde rapporten .
Zo meldde de aanvaller dat de Matrix-ontwikkelaars dat wel zouden moeten doen tweefactorauthenticatie of in ieder geval geen gebruik maken van SSH-agentomleiding (“ForwardAgent ja”), dan zou de penetratie in de infrastructuur worden geblokkeerd. De escalatie van de aanval zou ook kunnen worden gestopt door ontwikkelaars alleen de noodzakelijke rechten te geven op alle servers.
Bovendien werd de praktijk van het opslaan van sleutels voor het maken van digitale handtekeningen op productieservers bekritiseerd; voor dergelijke doeleinden zou een afzonderlijke geïsoleerde host moeten worden toegewezen. Nog steeds aanvallend , dat als Matrix-ontwikkelaars regelmatig logboeken hadden gecontroleerd en afwijkingen hadden geanalyseerd, ze al vroeg sporen van een hack zouden hebben opgemerkt (de CI-hack bleef een maand lang onopgemerkt). Een ander probleem het opslaan van alle configuratiebestanden in Git, waardoor het mogelijk werd om de instellingen van andere hosts te evalueren als een van hen werd gehackt. Toegang via SSH tot infrastructuurservers beperkt tot een beveiligd intern netwerk, waardoor het mogelijk was om vanaf elk extern adres verbinding met hen te maken.
Bronopennet.ru
[: En]новые over het hacken van de infrastructuur van het gedecentraliseerde berichtenplatform Matrix, waarover in de ochtend. De problematische link waardoor de aanvallers binnendrongen, was het continue integratiesysteem van Jenkins, dat op 13 maart werd gehackt. Vervolgens werd op de Jenkins-server de login van een van de beheerders, omgeleid door een SSH-agent, onderschept en op 4 april kregen de aanvallers toegang tot andere infrastructuurservers.
Tijdens de tweede aanval werd de matrix.org-website omgeleid naar een andere server (matrixnotorg.github.io) door de DNS-parameters te wijzigen, met behulp van de sleutel van de Cloudflare content delivery system-API die tijdens de eerste aanval werd onderschept. Bij het opnieuw opbouwen van de inhoud van de servers na de eerste hack hebben Matrix-beheerders alleen nieuwe persoonlijke sleutels bijgewerkt en misten ze het bijwerken van de sleutel naar Cloudflare.
Tijdens de tweede aanval bleven de Matrix-servers onaangeroerd; de wijzigingen bleven beperkt tot het vervangen van adressen in de DNS. Als de gebruiker het wachtwoord na de eerste aanval al heeft gewijzigd, hoeft dit geen tweede keer te worden gewijzigd. Maar als het wachtwoord nog niet is gewijzigd, moet het zo snel mogelijk worden bijgewerkt, aangezien het lek van de database met wachtwoord-hashes is bevestigd. Het huidige plan is om de volgende keer dat u inlogt een gedwongen wachtwoordresetproces te starten.
Naast het lekken van wachtwoorden is ook bevestigd dat GPG-sleutels die worden gebruikt om digitale handtekeningen te genereren voor pakketten in de Debian Synapse-repository en Riot/Web-releases in handen van de aanvallers zijn gevallen. De sleutels waren beveiligd met een wachtwoord. De sleutels zijn op dit moment al ingetrokken. De sleutels werden op 4 april onderschept, sindsdien zijn er geen Synapse-updates meer uitgebracht, maar is de Riot/Web-client 1.0.7 vrijgegeven (uit een voorlopige controle bleek dat deze niet gecompromitteerd was).
De aanvaller plaatste een reeks rapporten op GitHub met details over de aanval en tips voor het verbeteren van de bescherming, maar deze werden verwijderd. Echter, de gearchiveerde rapporten .
Zo meldde de aanvaller dat de Matrix-ontwikkelaars dat wel zouden moeten doen tweefactorauthenticatie of in ieder geval geen gebruik maken van SSH-agentomleiding (“ForwardAgent ja”), dan zou de penetratie in de infrastructuur worden geblokkeerd. De escalatie van de aanval zou ook kunnen worden gestopt door ontwikkelaars alleen de noodzakelijke rechten te geven op alle servers.
Bovendien werd de praktijk van het opslaan van sleutels voor het maken van digitale handtekeningen op productieservers bekritiseerd; voor dergelijke doeleinden zou een afzonderlijke geïsoleerde host moeten worden toegewezen. Nog steeds aanvallend , dat als Matrix-ontwikkelaars regelmatig logboeken hadden gecontroleerd en afwijkingen hadden geanalyseerd, ze al vroeg sporen van een hack zouden hebben opgemerkt (de CI-hack bleef een maand lang onopgemerkt). Een ander probleem het opslaan van alle configuratiebestanden in Git, waardoor het mogelijk werd om de instellingen van andere hosts te evalueren als een van hen werd gehackt. Toegang via SSH tot infrastructuurservers beperkt tot een beveiligd intern netwerk, waardoor het mogelijk was om vanaf elk extern adres verbinding met hen te maken.
Bron: opennet.ru
[:]